Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirusy, robaki i dużo adware

diox

Przez diox
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

diox

diox

Opublikowano
Opublikowano

Nadszedł czas, abym i ja napisał pierwszy temat w tym dziale. Kolega poprosił mnie, aby zobaczyć, czy w komputerze nie ma wirusów. Logi dał mi na pendrivie, kiedy go podłączyłem od razu Avast zablokował wykonywanie autorun.inf . Przejrzałem wstępnie logi, widać w nich dużo nieporządanych elementów. Znalazłem też pewien problem :

Computer Name: 6E5D8DD602FD42F | User Name: | Logged in as Administrator.

Konto nie ma nazwy, nie wiem, czy to nie utrudni usuwania skryptem.

Mam też jeszcze pytanie: logi i programy podaję mu przez pendrive, na nim jest infekcja skrótowa, czy mogę bezpiecznie dawać mu instrukcje usuwające via pendrive?

 

Załączone pliki

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Znalazłem też pewien problem (...) Konto nie ma nazwy, nie wiem, czy to nie utrudni usuwania skryptem.

 

Istotnie, to jest problem. Już to przerabiałam tu. Był taki temat: na innym forum stosowali skrypty (OTL i w końcu wzięli Avenger czy coś w tym stylu) i nic, więc wysłali tu, zwyczajne ręczne kasowanie w Trybie awaryjnym, bez żadnych skryptów, akcja błaha. I tak tu właśnie będzie: usuwanie plików z katalogu konta bez skryptów OTL, nie da rady OTL ich zinterpretować.

 

W systemie masakra. Nie dałeś GMER, a conajmniej jeden obiekt typu rootkit tu jest. Na razie:

 

1. Przygotuj plik BAT. Otwórz Notatnik i wklej w nim:

 

sc delete BrowserProtect
sc delete "IB Updater"
sc delete IBUpdaterService
sc delete dmungyiswuenzqp
sc delete jmygu
sc delete fwlrjplvd
sc delete mbjlfqw
sc delete lxikvc
sc delete ylwawgcf
sc delete crkqw
sc delete zvpzy
sc delete GMSIPCI
reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Taskman /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v 10d96fd /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Intel Data Service" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Intel iBackup" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Intel Service Driver" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "KernelFaultCheck" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Driver Setup" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SweetIM /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Sweetpacks Communicator" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Data Recovery" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Media Content" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Media iCore" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v 10d96fd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Anwywy /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Cnwywa /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Dnwywb /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fnwywd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v main10xz /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Mnwywk /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MSConfig /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MSSMARTMON /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MSSMARTMON1 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v nepdro0xz /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v nepro0xz /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr1nd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr2nd1 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr3nd2 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr4nd3 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr5nd4 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr6nd5 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr7nd6 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr8nd7 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v newcontr9nd8 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Optimizer Pro" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v PKTray /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Pnwywn /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Rubin /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Snwywq /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v t4q /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v tbrena /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v vauocey /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v w7fie172 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v w7five172 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v w7fw /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wfi72 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wfie172 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi68 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi712 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi72 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi8712 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi87t12 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wi87t1298 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v zaber0 /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 2144:TCP /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d @SYS:DoesNotExist /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}" /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}" /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {00000000-0000-0000-0000-000000000000} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {2318C2B1-4965-11D4-9B18-009027A5CD4F} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks" /v "" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v "" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /v {336D0C35-8A85-403a-B9D2-65C292C39087} /f
reg delete HKCU\Software\Mozilla\Firefox\Extensions /v {58bd07eb-0ee0-4df0-8121-dc9b693373df} /f
attrib -r -s -h C:\WINDOWS\csdrive32.exe
attrib -r -s -h C:\WINDOWS\ywdrive32.exe
attrib -r -s -h C:\WINDOWS\yndrive32.exe
attrib -r -s -h C:\WINDOWS\yadrive32.exe
attrib -r -s -h C:\WINDOWS\System32\igfxvb32.exe
attrib -r -s -h C:\WINDOWS\system32\fylbrk.dll
del /q C:\WINDOWS\csdrive32.exe
del /q C:\WINDOWS\ywdrive32.exe
del /q C:\WINDOWS\yndrive32.exe
del /q C:\WINDOWS\yadrive32.exe
del /q C:\WINDOWS\System32\igfxvb32.exe
del /q C:\WINDOWS\system32\fylbrk.dll
del /q C:\WINDOWS\System32\drivers\ziost.sys
del /q C:\WINDOWS\System32\imon1.dat
del /q C:\WINDOWS\system32\*.tmp
rd /s /q C:\WINDOWS\Temp
rd /s /q C:\RECYCLER
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik ulokuj wprost na C:\.

 

2. Start do Trybu awaryjnego z Wierszem polecenia (logujesz się oczywiście na konto bez nazwy). W linii komend wklep C:\FIX.BAT i ENTER.

 

3. Restart systemu i znów do Trybu awaryjnego, ale tym razem zwykłego. Z Pulpitu skasuj podejrzane skróty *.LNK. Wchodzisz do ścieżek:

 

C:\Documents and Settings\ \

 

Przez SHIFT+DEL kasujesz wszystkie pliki EXE, SCR, INF i skróty *.LNK.

 

C:\Documents and Settings\ \Dane aplikacji

 

Przez SHIFT+DEL kasujesz folder 10d96fd, wszystkie pliki o rozszerzeniu *.EXE i *.gonewiththewings oraz pliki nd.bin + Edg1yFHEEhjE

 

C:\Documents and Settings\ \Ustawienia lokalne\Dane aplikacji

 

Przez SHIFT+DEL kasujesz funmoods.crx + promo.exe.

 

4. Przechodzisz w Tryb normalny. Usuwasz adware:

 

- Przez Dodaj/Usuń programy: Babylon Chrome Toolbar, Babylon toolbar, BrowserProtect, FoxTab PDF Reader, Funmoods, IB Updater 2.0.0.557, IB Updater Service, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, Optimizer Pro v3.0, PriceGong 2.6.9, SimilarSites, Softonic toolbar on IE and Chrome, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1. Dodatkowo NOD32 FiX v2.1.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Poprawiasz czyścicielami: AdwCleaner + Junkware Removal Tool.

 

6. Czyścisz lokalizacje tymczasowe przez TFC - Temp Cleaner.

 

7. Nowe logi: OTL z opcji Skanuj (Extras po raz drugi też) + GMER. Dołącz logi z AdwCleaner i JRT.

 

 

 

 

.

Odnośnik do komentarza
diox

diox

Opublikowano
  • Autor
Opublikowano

Wiem, masakra w systemie, czegoś takiego jeszcze nie widziałem. Logi będą najwcześniej w poniedziałek. Ten kolega to lajk w obsługiwaniu komputera, co gorsza taki stan systemu utrzymuje się długo. Mam takie pytanie: czy po usuwaniu wirusów mam założyć nowe konto w systemie?

Podam jeszcze jakie wirusy wykryło na jego pendrive:

Win32:Malware-gen
Win32:LockScreen-QK [TRJ]
Win32:IRCBot-ERA [TRJ]
Win32:Downloader-PLD [TRJ]
Win32:Detnax-AX [Wrm
Win32:Autorun-SD [Wrm]
Win32:AutoRun-SB [Wrm]
VBS:Runner-AC [Trj]
Win32:Rootkit-gen [Rtk]
Win32:VB-NIK [Wrm]

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Mam takie pytanie: czy po usuwaniu wirusów mam założyć nowe konto w systemie?

 

Tak, to było tu przewidziane jako kolejny krok. Takie zalecenia otrzymał również inny "spacjowy" użytkownik na forum. Z tego co pamiętam, katalog konta ze spacją w nazwie gładko się upłynnił.

 

 

Podam jeszcze jakie wirusy wykryło na jego pendrive

 

Nie ma tu ścieżek dostępu, by to ocenić. A jeśli pendrive nadal jest i nie został sformatowany, to na wszelki wypadek jeszcze log USBFix dorzuć.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Daję loga z USBFix, plik autorun.inf to plik zrobiony przez Pandę.

 

To już wiem z raportu OTL, plik Pandy ma charakterystyczne wymiary 16 bajtów:

 

O32 - AutoRun File - [2013-02-19 22:30:28 | 000,000,016 | -H-- | M] () - H:\AUTORUN.INF -- [ FAT32 ]

 

Ze skanu wynika: trzeba ściągać atrybuty HS zbiorowo ponownie (wszystkie foldery ukryte), na ubój cały kosz RECYCLER, na koniec skan Avastem. Są tu pewne foldery, których przeznaczenia nie znam, a nazwy brzmią nieco podejrzanie np. lisavalo, osia.

 

Ale to wszystko już po wyczyszczeniu jego kompa, by podpinanie nie odkręciło roboty.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...